The Apache Software Foundation ha corregido tres
vulnerabilidades importantes que afectan a las ramas 6, 7, 8 y 9 de Apache
Tomcat, y que podrían permitir a atacantes provocar condiciones de denegación
de servicio, ataques cross-site scripting o la ejecución remota de código.
Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP.
Detalle de vulnerabilidades corregidas
- La primera vulnerabilidad, calificada como "importante", reside en que JmxRemoteLifecycleListener no se actualizó para incluir la corrección de Oracle para CVE-2016-3427. Por ello, las instalaciones de Tomcat que utilicen este Listener siguen siendo siendo vulnerables a una vulnerabilidad de ejecución remota de código. Según Apache son pocas las instalaciones que utilizan este Listener. Afecta a versiones 6.0.0 a 6.0.47, 7.0.0 a 7.0.72, 8.0.0.RC1 a 8.0.38, 8.5.0 a 8.5.6 y 9.0.0.M1 a 9.0.0.M11
- Por otra parte, con CVE-2016-6817, una denegación de servicio debida a que el tratamiento de cabeceras HTTP/2 entra en un bucle infinito si se recibe una cabecera de gran tamaño. Afecta a 8.5.0 a 8.5.6 y 9.0.0.M1 a 9.0.0.M11.
- Por último, con CVE-2016-6816, el código que trata la petición http permite caracteres no válidos. Esto podría emplearse junto con un proxy que también permita caracteres no válidos inyectar datos en la respuesta http. Esto podría permitir envenenar la caché web, obtener información sensible o realizar ataques XSS. Afecta a versiones 6.0.0 a 6.0.47, 7.0.0 a 7.0.72, 8.0.0.RC1 a 8.0.38, 8.5.0 a 8.5.6 y 9.0.0.M1 a 9.0.0.M11
El fabricante recomienda a los usuarios que actualicen a
las versiones 9.0.0.M13, 8.0.39, 8.5.8, 7.0.73 o 6.0.48, disponibles desde:
- http://tomcat.apache.org/download-60.cgi
- http://tomcat.apache.org/download-70.cgi
- http://tomcat.apache.org/download-80.cgi
- http://tomcat.apache.org/download-90.cgi
- Fixed in Apache Tomcat 9.0.0.M13 http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M13
- Fixed in Apache Tomcat 8.0.39 http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.39
- Fixed in Apache Tomcat 8.5.8 http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.8
- Fixed in Apache Tomcat 7.0.73 http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.73
- Fixed in Apache Tomcat 6.0.48 http://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.48
